《CISSP官方學(xué)習(xí)指南(第7版)》是完整涵蓋2015年CISSP認(rèn)證知識(shí)體系的一站式資源，100%覆蓋了2015年CISSP CIB考點(diǎn)?？梢酝ㄟ^(guò)本書(shū)更明智、更快捷地準(zhǔn)備考試，包括檢查備考情況的評(píng)估測(cè)試、目標(biāo)地圖、真實(shí)場(chǎng)景、實(shí)踐練習(xí)、關(guān)鍵主題考試要點(diǎn)和有挑戰(zhàn)的章末復(fù)習(xí)題。通過(guò)Sybex提供的獨(dú)特的在線學(xué)習(xí)環(huán)境和測(cè)試題庫(kù)(它們可以在多種設(shè)備上訪問(wèn))，進(jìn)一步增強(qiáng)你的考試能力。開(kāi)始使用本書(shū)準(zhǔn)備CISSP考試吧！

目錄

第1章 通過(guò)原則和策略的安全治理 1
1.1 理解和應(yīng)用機(jī)密性、完整性
和可用性的概念 2
1.1.1 機(jī)密性 2
1.1.2 完整性 3
1.1.3 可用性 4
1.1.4 其他安全概念 5
1.1.5 保護(hù)機(jī)制 8
1.2 應(yīng)用安全治理原則 9
1.2.1 安全功能戰(zhàn)略、目標(biāo)、
任務(wù)和愿景的一致 9
1.2.2 組織流程 11
1.2.3 安全角色和責(zé)任 15
1.2.4 控制架構(gòu) 16
1.2.5 應(yīng)盡關(guān)注和應(yīng)盡職責(zé) 16
1.3 開(kāi)發(fā)和文檔化安全策略、
標(biāo)準(zhǔn)、指導(dǎo)方針和程序 17
1.3.1 安全策略 17
1.3.2 安全標(biāo)準(zhǔn)、基準(zhǔn)及指南 18
1.3.3 安全程序 18
1.4 理解和應(yīng)用威脅建模 19
1.4.1 識(shí)別威脅 20
1.4.2 確定和用圖表示潛在攻擊 22
1.4.3 執(zhí)行降低分析 23
1.4.4 優(yōu)先級(jí)和響應(yīng) 23
1.5 把安全風(fēng)險(xiǎn)考慮到收購(gòu)
策略和實(shí)踐中 24
1.6 本章小結(jié) 25
1.7 考試要點(diǎn) 26
1.8 書(shū)面實(shí)驗(yàn)室 28
1.9 復(fù)習(xí)題 28
第2章 人員安全和風(fēng)險(xiǎn)管理概念 31
2.1 促進(jìn)人員安全策略 32
2.1.1 篩選候選人 34
2.1.2 雇傭協(xié)議和策略 34
2.1.3 解雇員工的流程 35
2.1.4 供應(yīng)商、顧問(wèn)和承包商控制 37
2.1.5 合規(guī)性 38
2.1.6 隱私 38
2.2 安全治理 39
2.3 理解和應(yīng)用風(fēng)險(xiǎn)管理概念 39
2.3.1 風(fēng)險(xiǎn)術(shù)語(yǔ) 40
2.3.2 識(shí)別威脅和脆弱性 42
2.3.3 風(fēng)險(xiǎn)評(píng)估/分析 43
2.3.4 風(fēng)險(xiǎn)分配/接受 48
2.3.5 對(duì)策的選擇和評(píng)估 49
2.3.6 實(shí)施 50
2.3.7 控制的類型 51
2.3.8 監(jiān)控和測(cè)量 52
2.3.9 資產(chǎn)評(píng)估 52
2.3.10 持續(xù)改進(jìn) 53
2.3.11 風(fēng)險(xiǎn)框架 54
2.4 建立和管理信息安全教育、
培訓(xùn)和意識(shí) 55
2.5 管理安全功能 56
2.6 本章小結(jié) 57
2.7 考試要點(diǎn) 57
2.8 書(shū)面實(shí)驗(yàn)室 59
2.9 復(fù)習(xí)題 59
第3章 業(yè)務(wù)連續(xù)性計(jì)劃 63
3.1 業(yè)務(wù)連續(xù)性計(jì)劃 63
3.2 項(xiàng)目范圍與計(jì)劃 64
3.2.1 業(yè)務(wù)組織分析 65
3.2.2 BCP團(tuán)隊(duì)的選擇 65
3.2.3 資源要求 66
3.2.4 法律和法規(guī)要求 67
3.3 業(yè)務(wù)影響評(píng)估 68
3.3.1 確定優(yōu)先級(jí) 69
3.3.2 風(fēng)險(xiǎn)識(shí)別 69
3.3.3 可能性評(píng)估 70
3.3.4 影響評(píng)估 71
3.3.5 資源優(yōu)先級(jí)劃分 72
3.4 連續(xù)性計(jì)劃 72
3.4.1 策略開(kāi)發(fā) 73
3.4.2 預(yù)備和處理 73
3.4.3 計(jì)劃批準(zhǔn)和實(shí)現(xiàn) 74
3.4.4 計(jì)劃實(shí)現(xiàn) 75
3.4.5 培訓(xùn)和教育 75
3.5 BCP文檔化 75
3.5.1 連續(xù)性計(jì)劃的目標(biāo) 75
3.5.2 重要性聲明 76
3.5.3 優(yōu)先級(jí)聲明 76
3.5.4 組織職責(zé)的聲明 76
3.5.5 緊急程度和時(shí)限的聲明 76
3.5.6 風(fēng)險(xiǎn)評(píng)估 76
3.5.7 可接受的風(fēng)險(xiǎn)/風(fēng)險(xiǎn)緩解 77
3.5.8 重大記錄計(jì)劃 77
3.5.9 響應(yīng)緊急事件的指導(dǎo)原則 77
3.5.10 維護(hù) 78
3.5.11 測(cè)試和演習(xí) 78
3.6 本章小結(jié) 78
3.7 考試要點(diǎn) 79
3.8 書(shū)面實(shí)驗(yàn)室 79
3.9 復(fù)習(xí)題 79
第4章 法律、法規(guī)和合規(guī)性 83
4.1 法律的分類 84
4.1.1 刑法 84
4.1.2 民法 85
4.1.3 行政法 85
4.2 法律 86
4.2.1 計(jì)算機(jī)犯罪 86
4.2.2 知識(shí)產(chǎn)權(quán) 89
4.2.3 進(jìn)口/出口 94
4.2.4 隱私 95
4.3 合規(guī)性 99
4.4 合同與采購(gòu) 100
4.5 本章小結(jié) 101
4.6 考試要點(diǎn) 101
4.7 書(shū)面實(shí)驗(yàn)室 102
4.8 復(fù)習(xí)題 102
第5章 保護(hù)資產(chǎn)的安全 107
5.1 對(duì)資產(chǎn)進(jìn)行分類和標(biāo)記 107
5.1.1 定義敏感數(shù)據(jù) 108
5.1.2 定義分類 109
5.1.3 定義數(shù)據(jù)安全要求 111
5.1.4 理解數(shù)據(jù)狀態(tài) 112
5.1.5 管理敏感數(shù)據(jù) 112
5.1.6 應(yīng)用密碼學(xué)保護(hù)機(jī)密文件 117
5.2 定義數(shù)據(jù)角色 119
5.2.1 數(shù)據(jù)所有者 119
5.2.2 系統(tǒng)所有者 120
5.2.3 業(yè)務(wù)/任務(wù)所有者 120
5.2.4 數(shù)據(jù)處理者 121
5.2.5 管理員 121
5.2.6 保管者 121
5.2.7 用戶 122
5.3 保護(hù)隱私 122
5.3.1 使用安全基線 122
5.3.2 審視和定制 123
5.3.3 選擇標(biāo)準(zhǔn) 123
5.4 本章小結(jié) 124
5.5 考試要點(diǎn) 124
5.6 書(shū)面實(shí)驗(yàn)室 125
5.7 復(fù)習(xí)題 125
第6章 密碼學(xué)與對(duì)稱加密算法 129
6.1 密碼學(xué)歷史上的里程碑 129
6.1.1 凱撒密碼 129
6.1.2 美國(guó)內(nèi)戰(zhàn) 130
6.1.3 Ultra與Enigma 130
6.2 密碼學(xué)基礎(chǔ) 131
6.2.1 密碼學(xué)的目標(biāo) 131
6.2.2 密碼學(xué)概念 132
6.2.3 密碼學(xué)的數(shù)學(xué)原理 133
6.2.4 密碼 138
6.3 現(xiàn)代密碼學(xué) 143
6.3.1 密鑰 143
6.3.2 對(duì)稱密鑰算法 144
6.3.3 非對(duì)稱密鑰算法 145
6.3.4 散列算法 147
6.4 對(duì)稱密碼 147
6.4.1 數(shù)據(jù)加密標(biāo)準(zhǔn) 148
6.4.2 三重?cái)?shù)據(jù)加密算法(3DES) 149
6.4.3 國(guó)際數(shù)據(jù)加密算法(IDEA) 150
6.4.4 Blowfish 150
6.4.5 Skipjack 151
6.4.6 高級(jí)加密標(biāo)準(zhǔn)(AES) 151
6.4.7 對(duì)稱密鑰管理 152
6.4.8 密碼生命周期 154
6.5 本章小結(jié) 154
6.6 考試要點(diǎn) 154
6.7 書(shū)面實(shí)驗(yàn)室 155
6.8 復(fù)習(xí)題 156
第7章 PKI和密碼學(xué)應(yīng)用 159
7.1 非對(duì)稱密碼學(xué) 159
7.1.1 公鑰與私鑰 160
7.1.2 RSA 160
7.1.3 El Gamal 161
7.1.4 橢圓曲線密碼系統(tǒng)(ECC) 162
7.2 散列函數(shù) 162
7.2.1 SHA 163
7.2.2 MD2 164
7.2.3 MD4 164
7.2.4 MD5 165
7.3 數(shù)字簽名 165
7.3.1 HMAC 166
7.3.2 數(shù)字簽名標(biāo)準(zhǔn) 167
7.4 公鑰基礎(chǔ)設(shè)施(PKI) 167
7.4.1 證書(shū) 167
7.4.2 證書(shū)授權(quán)機(jī)構(gòu) 168
7.4.3 證書(shū)的生成與撤消 169
7.4.4 非對(duì)稱密鑰的管理 170
7.5 密碼學(xué)的應(yīng)用 171
7.5.1 便攜式設(shè)備 171
7.5.2 電子郵件 171
7.5.3 Web應(yīng)用 172
7.5.4 數(shù)字版權(quán)管理(DRM) 174
7.5.5 網(wǎng)絡(luò)連接 176
7.6 密碼學(xué)攻擊 179
7.7 本章小結(jié) 181
7.8 考試要點(diǎn) 181
7.9 書(shū)面實(shí)驗(yàn)室 182
7.10 復(fù)習(xí)題 183
第8章 安全模型的原則、
設(shè)計(jì)和功能 187
8.1 使用安全設(shè)計(jì)原則實(shí)施和
管理工程過(guò)程 187
8.1.1 客體和主體 188
8.1.2 封閉式系統(tǒng)和開(kāi)放式系統(tǒng) 188
8.1.3 用于確保機(jī)密性、完整性和
可用性的技術(shù) 189
8.1.4 控制 190
8.1.5 信任與保證 190
8.2 理解安全模型的基本概念 191
8.2.1 可信計(jì)算基 192
8.2.2 狀態(tài)機(jī)模型 193
8.2.3 信息流模型 193
8.2.4 無(wú)干擾模型 194
8.2.5 Take-Grant 模型 194
8.2.6 訪問(wèn)控制矩陣 195
8.2.7 Bell-LaPadula模型 196
8.2.8 Biba模型 197
8.2.9 Clark-Wilson模型 199
8.2.10 Brewer and Nash模型
(也叫作Chinese Wall) 200
8.2.11 Goguen-Meseguer模型 200
8.2.12 Sutherland模型 200
8.2.13 Graham-Denning模型 200
8.3 基于系統(tǒng)安全評(píng)估模型
選擇控制和對(duì)策 201
8.3.1 彩虹系列 201
8.3.2 TCSEC分類和所需功能 202
8.3.3 彩虹系列中的其他顏色 203
8.3.4 ITSEC類別與所需的
保證和功能性 205
8.3.5 通用準(zhǔn)則 206
8.3.6 認(rèn)證和鑒定 208
8.4 理解信息系統(tǒng)的安全功能 210
8.4.1 內(nèi)存保護(hù) 210
8.4.2 虛擬化 210
8.4.3 可信平臺(tái)模塊 211
8.4.4 接口 211
8.4.5 容錯(cuò) 211
8.5 本章小結(jié) 212
8.6 考試要點(diǎn) 212
8.7 書(shū)面實(shí)驗(yàn)室 213
8.8 復(fù)習(xí)題 213
第9章 安全脆弱性、威脅和對(duì)施 217
9.1 評(píng)估和緩解安全脆弱性 218
9.1.1 硬件 218
9.1.2 存儲(chǔ)器 226
9.1.3 存儲(chǔ)設(shè)備 230
9.1.4 存儲(chǔ)介質(zhì)的安全性 231
9.1.5 輸入和輸出設(shè)備 231
9.1.6 固件 233
9.2 基于客戶端 234
9.2.1 applet 234
9.2.2 本地緩存 235
9.3 基于服務(wù)端 237
9.4 數(shù)據(jù)庫(kù)安全 237
9.4.1 聚合 237
9.4.2 推理 238
9.4.3 數(shù)據(jù)挖掘和數(shù)據(jù)倉(cāng)庫(kù) 238
9.4.4 數(shù)據(jù)分析 239
9.4.5 大規(guī)模并行數(shù)據(jù)系統(tǒng) 239
9.5 分布式系統(tǒng) 239
9.5.1 云計(jì)算 241
9.5.2 網(wǎng)格計(jì)算 241
9.5.3 點(diǎn)對(duì)點(diǎn) 242
9.6 工業(yè)控制系統(tǒng) 242
9.7 評(píng)估和緩解基于Web系統(tǒng)的
脆弱性 243
9.8 評(píng)估和緩解移動(dòng)系統(tǒng)的
脆弱性 243
9.8.1 設(shè)備安全 244
9.8.2 應(yīng)用安全 247
9.8.3 BYOD關(guān)注點(diǎn) 248
9.9 評(píng)估和緩解嵌入式設(shè)備和
物聯(lián)網(wǎng)系統(tǒng)的脆弱性 251
9.9.1 嵌入式系統(tǒng)和靜態(tài)
系統(tǒng)的示例 251
9.9.2 安全方法 252
9.10 基本安全保護(hù)機(jī)制 253
9.10.1 技術(shù)機(jī)制 254
9.10.2 安全策略與計(jì)算機(jī)
體系結(jié)構(gòu) 256
9.10.3 策略機(jī)制 256
9.11 常見(jiàn)的缺陷和安全問(wèn)題 257
9.11.1 隱蔽通道 257
9.11.2 基于設(shè)計(jì)或編碼缺陷的
攻擊和安全問(wèn)題 258
9.11.3 編程 260
9.11.4 計(jì)時(shí)、狀態(tài)改變和
通信中斷 260
9.11.5 技術(shù)和過(guò)程完整性 261
9.11.6 電磁輻射 261
9.12 本章小結(jié) 262
9.13 考試要點(diǎn) 262
9.14 書(shū)面實(shí)驗(yàn)室 264
9.15 復(fù)習(xí)題 264
第10章 物理安全需求 269
10.1 應(yīng)用安全原則到選址和
設(shè)施設(shè)計(jì) 270
10.1.1 安全設(shè)施計(jì)劃 270
10.1.2 場(chǎng)所選擇 270
10.1.3 可視性 271
10.1.4 自然災(zāi)害 271
10.1.5 設(shè)施的設(shè)計(jì) 271
10.2 設(shè)計(jì)和實(shí)施物理安全 272
10.2.1 設(shè)備故障 273
10.2.2 配線間 273
10.2.3 服務(wù)器機(jī)房 274
10.2.4 介質(zhì)存儲(chǔ)設(shè)施 275
10.2.5 證據(jù)存儲(chǔ) 276
10.2.6 受限的和工作區(qū)域安全
(例如，運(yùn)營(yíng)中心) 276
10.2.7 數(shù)據(jù)中心安全 277
10.2.8 基礎(chǔ)設(shè)施和HVAC
注意事項(xiàng) 279
10.2.9 水的問(wèn)題(例如，漏水
和水災(zāi)) 281
10.2.10 火災(zāi)的預(yù)防、檢測(cè)和
抑制 281
10.3 實(shí)施和管理物理安全 285
10.3.1 周邊(例如，訪問(wèn)控制
和監(jiān)控) 285
10.3.2 內(nèi)部安全(例如，陪同要求/
訪問(wèn)者控制、鑰匙和鎖) 287
10.4 本章小結(jié) 291
10.5 考試要點(diǎn) 292
10.6 書(shū)面實(shí)驗(yàn)室 293
10.7 復(fù)習(xí)題 294
第11章 網(wǎng)絡(luò)安全架構(gòu)與保護(hù)
網(wǎng)絡(luò)組件 297
11.1 OSI模型 298
11.1.1 OSI模型的歷史 298
11.1.2 OSI功能 298
11.1.3 封裝/解封裝 299
11.1.4 OSI分層 300
11.2 TCP/IP模型 305
11.2.1 TCP/IP協(xié)議族概述 306
11.2.2 分層協(xié)議的應(yīng)用 313
11.2.3 TCP/IP的脆弱性 314
11.2.4 域名解析 315
11.3 匯聚協(xié)議 315
11.4 內(nèi)容分發(fā)網(wǎng)絡(luò) 317
11.5 無(wú)線網(wǎng)絡(luò) 317
11.5.1 保護(hù)無(wú)線接入點(diǎn) 317
11.5.2 保護(hù)SSID 319
11.5.3 執(zhí)行現(xiàn)場(chǎng)勘測(cè) 319
11.5.4 使用加密協(xié)議 320
11.5.5 天線位置的確定 322
11.5.6 天線類型 322
11.5.7 調(diào)整功率水平控制 323
11.5.8 使用強(qiáng)制門戶 323
11.5.9 一般的Wi-Fi安全措施 323
11.6 保護(hù)網(wǎng)絡(luò)組件 324
11.6.1 網(wǎng)絡(luò)接入控制 325
11.6.2 防火墻 325
11.6.3 終端安全 328
11.6.4 其他網(wǎng)絡(luò)設(shè)備 328
11.7 布線、無(wú)線、拓?fù)浜?br /> 通信技術(shù) 330
11.7.1 網(wǎng)絡(luò)布線 331
11.7.2 網(wǎng)絡(luò)拓?fù)?334
11.7.3 無(wú)線通信與安全性 335
11.7.4 LAN技術(shù) 339
11.8 本章小結(jié) 342
11.9 考試要點(diǎn) 343
11.10 書(shū)面實(shí)驗(yàn)室 344
11.11 復(fù)習(xí)題 345
第12章 安全通信和網(wǎng)絡(luò)攻擊 349
12.1 網(wǎng)絡(luò)與協(xié)議安全機(jī)制 350
12.1.1 安全通信協(xié)議 350
12.1.2 身份認(rèn)證協(xié)議 351
12.2 安全的語(yǔ)音通信 351
12.2.1 互聯(lián)網(wǎng)語(yǔ)音協(xié)議(VoIP) 352
12.2.2 社會(huì)工程學(xué) 352
12.2.3 偽造與濫用 353
12.3 多媒體協(xié)作 354
12.3.1 遠(yuǎn)程會(huì)議 355
12.3.2 即時(shí)消息 355
12.4 管理電子郵件的安全性 355
12.4.1 電子郵件安全性的目標(biāo) 356
12.4.2 理解電子郵件的安全性
問(wèn)題 356
12.4.3 電子郵件安全性
解決方案 357
12.5 遠(yuǎn)程接入安全管理 359
12.5.1 計(jì)劃遠(yuǎn)程接入安全 360
12.5.2 撥號(hào)協(xié)議 361
12.5.3 集中化的遠(yuǎn)程身份
認(rèn)證服務(wù) 361
12.6 虛擬專用網(wǎng)絡(luò) 362
12.6.1 隧道技術(shù) 362
12.6.2 VPN的工作原理 363
12.6.3 常用VPN協(xié)議 363
12.6.4 虛擬局域網(wǎng) 365
12.7 虛擬化 365
12.7.1 虛擬化軟件 366
12.7.2 虛擬化網(wǎng)絡(luò) 366
12.8 網(wǎng)絡(luò)地址轉(zhuǎn)換 367
12.8.1 專用IP地址 368
12.8.2 狀態(tài)NAT 369
12.8.3 靜態(tài)NAT與動(dòng)態(tài)NAT 369
12.8.4 自動(dòng)私有IP地址尋址 370
12.9 交換技術(shù) 371
12.9.1 電路交換 371
12.9.2 分組交換 371
12.9.3 虛電路 372
12.10 WAN技術(shù) 372
12.10.1 WAN連接技術(shù) 374
12.10.2 X.25 WAN連接 374
12.10.3 幀中繼連接 374
12.10.4 ATM 375
12.10.5 SMDS 375
12.10.6 專門的協(xié)議 375
12.10.7 撥號(hào)封裝協(xié)議 375
12.11 各種安全控制特性 376
12.11.1 透明性 376
12.11.2 驗(yàn)證完整性 376
12.11.3 傳輸機(jī)制 377
12.12 安全邊界 377
12.13 網(wǎng)絡(luò)攻擊與對(duì)策 378
12.13.1 DoS和DDoS 378
12.13.2 偷聽(tīng) 379
12.13.3 假冒/偽裝 379
12.13.4 重放攻擊 380
12.13.5 修改攻擊 380
12.13.6 地址解析協(xié)議欺騙 380
12.13.7 DNS 投毒、 欺騙和
劫持 381
12.13.8 超鏈接欺騙 381
12.14 本章小結(jié) 382
12.15 考試要點(diǎn) 383
12.16 書(shū)面實(shí)驗(yàn)室 384
12.17 復(fù)習(xí)題 385
第13章 管理身份與認(rèn)證 389
13.1 控制對(duì)資產(chǎn)的訪問(wèn) 389
13.1.1 主體與客體的對(duì)比 390
13.1.2 訪問(wèn)控制的類型 391
13.1.3 CIA三要素 392
13.2 比較身份標(biāo)識(shí)與認(rèn)證 393
13.2.1 身份的注冊(cè)和證明 393
13.2.2 授權(quán)與可問(wèn)責(zé)性 393
13.2.3 認(rèn)證因素 394
13.2.4 密碼 395
13.2.5 智能卡和令牌 397
13.2.6 生物識(shí)別 398
13.2.7 多因素身份認(rèn)證 401
13.2.8 設(shè)備認(rèn)證 401
13.3 實(shí)施身份管理 402
13.3.1 單點(diǎn)登錄 402
13.3.2 LDAP和集中式訪問(wèn)
控制 402
13.3.3 LDAP和PKI 402
13.3.4 Kerberos 403
13.3.5 聯(lián)合身份管理和SSO 404
13.3.6 其他單點(diǎn)登錄的例子 405
13.3.7 證書(shū)管理系統(tǒng) 406
13.3.8 整合身份服務(wù) 406
13.3.9 管理會(huì)話 406
13.3.10 AAA 協(xié)議 407
13.4 管理標(biāo)識(shí)和訪問(wèn)開(kāi)通
生命周期 408
13.4.1 開(kāi)通 408
13.4.2 賬號(hào)審核 409
13.4.3 賬號(hào)撤消 410
13.5 本章小結(jié) 410
13.6 考試要點(diǎn) 411
13.7 書(shū)面實(shí)驗(yàn)室 412
13.8 復(fù)習(xí)題 412
第14章 控制和監(jiān)控訪問(wèn) 417
14.1 對(duì)比訪問(wèn)控制模型 417
14.1.1 對(duì)比許可、權(quán)限和特權(quán) 418
14.1.2 理解授權(quán)機(jī)制 418
14.1.3 用安全策略定義需求 419
14.1.4 部署深度防御 419
14.1.5 自主訪問(wèn)控制 420
14.1.6 非自主訪問(wèn)控制 421
14.2 理解訪問(wèn)控制攻擊方式 425
14.2.1 風(fēng)險(xiǎn)元素 425
14.2.2 常見(jiàn)的訪問(wèn)控制攻擊 428
14.3 本章小結(jié) 436
14.4 考試要點(diǎn) 437
14.5 書(shū)面實(shí)驗(yàn)室 438
14.6 復(fù)習(xí)題 438
第15章 安全評(píng)估和測(cè)試 441
15.1 創(chuàng)建安全評(píng)估和測(cè)試程序 442
15.1.1 安全測(cè)試 442
15.1.2 安全評(píng)估 443
15.1.3 安全審計(jì) 443
15.2 執(zhí)行漏洞評(píng)估 444
15.2.1 漏洞掃描 444
15.2.2 滲透測(cè)試 451
15.3 測(cè)試你的軟件 452
15.3.1 代碼審查和測(cè)試 452
15.3.2 接口測(cè)試 455
15.3.3 誤用案例測(cè)試 455
15.3.4 測(cè)試覆蓋率分析 456
15.4 實(shí)現(xiàn)安全管理過(guò)程 456
15.4.1 日志審核 456
15.4.2 賬戶管理 456
15.4.3 備份驗(yàn)證 457
15.4.4 關(guān)鍵性能指標(biāo)和
風(fēng)險(xiǎn)指標(biāo) 457
15.5 本章小結(jié) 457
15.6 考試要點(diǎn) 458
15.7 書(shū)面實(shí)驗(yàn)室 458
15.8 復(fù)習(xí)題 459
第16章 管理安全運(yùn)營(yíng) 463
16.1 應(yīng)用安全運(yùn)營(yíng)的概念 464
16.1.1 知其所需和最小特權(quán) 464
16.1.2 職責(zé)和責(zé)任分離 465
16.1.3 崗位輪換 467
16.1.4 強(qiáng)制休假 468
16.1.5 監(jiān)控特殊的特權(quán) 468
16.1.6 管理信息生命周期 469
16.1.7 服務(wù)級(jí)別協(xié)議 470
16.1.8 關(guān)注人員安全 470
16.2 提供和管理資源 471
16.2.1 管理硬件和軟件資產(chǎn) 471
16.2.2 保護(hù)物理資產(chǎn) 472
16.2.3 管理虛擬資產(chǎn) 472
16.2.4 管理基于云的資產(chǎn) 472
16.2.5 介質(zhì)管理 473
16.2.6 管理介質(zhì)的生命周期 475
16.3 配置管理 476
16.3.1 基線 476
16.3.2 用鏡像創(chuàng)建基線 476
16.4 變更管理 478
16.4.1 安全影響分析 479
16.4.2 版本控制 479
16.4.3 配置文檔 480
16.5 補(bǔ)丁管理和減少漏洞 480
16.5.1 補(bǔ)丁管理 480
16.5.2 漏洞管理 481
16.5.3 漏洞掃描 481
16.5.4 漏洞評(píng)估 482
16.5.5 常見(jiàn)漏洞和披露 483
16.6 本章小結(jié) 483
16.7 考試要點(diǎn) 484
16.8 書(shū)面實(shí)驗(yàn)室 485
16.9 復(fù)習(xí)題 485
第17章 事件預(yù)防和響應(yīng) 489
17.1 管理事件響應(yīng) 490
17.1.1 事件界定 490
17.1.2 事件響應(yīng)步驟 491
17.1.3 檢測(cè) 491
17.1.4 響應(yīng) 492
17.1.5 緩解 492
17.1.6 報(bào)告 492
17.1.7 恢復(fù) 493
17.1.8 修復(fù) 493
17.1.9 經(jīng)驗(yàn)教訓(xùn) 494
17.2 部署預(yù)防措施 494
17.2.1 基本的預(yù)防措施 495
17.2.2 理解攻擊 495
17.2.3 入侵檢測(cè)和防御系統(tǒng) 502
17.2.4 特殊的防御措施 507
17.3 日志、監(jiān)控和審計(jì) 513
17.3.1 日志和監(jiān)控 513
17.3.2 出口監(jiān)控 520
17.3.4 審計(jì)和評(píng)估有效性 521
17.4 本章小結(jié) 525
17.5 考試要點(diǎn) 527
17.6 書(shū)面實(shí)驗(yàn)室 529
17.7 復(fù)習(xí)題 529
第18章 災(zāi)難恢復(fù)計(jì)劃 533
18.1 災(zāi)難的本質(zhì) 534
18.1.1 自然災(zāi)難 534
18.1.2 人為災(zāi)難 538
18.1.3 其他公共設(shè)施和基礎(chǔ)
設(shè)施故障 539
18.2 理解系統(tǒng)恢復(fù)和容錯(cuò)能力 541
18.2.1 保護(hù)硬盤驅(qū)動(dòng)器 542
18.2.2 保護(hù)服務(wù)器 542
18.2.3 保護(hù)電源 543
18.2.4 受信恢復(fù) 544
18.2.5 服務(wù)質(zhì)量 545
18.3 恢復(fù)策略 545
18.3.1 確定業(yè)務(wù)單元的
優(yōu)先順序 546
18.3.2 危機(jī)管理 546
18.3.3 應(yīng)急通信 547
18.3.4 工作組恢復(fù) 547
18.3.5 可替代的工作站點(diǎn) 547
18.3.6 相互援助協(xié)議 550
18.3.7 數(shù)據(jù)庫(kù)恢復(fù) 551
18.4 恢復(fù)計(jì)劃開(kāi)發(fā) 552
18.4.1 緊急事件響應(yīng) 552
18.4.2 人員通知 553
18.4.3 評(píng)估 553
18.4.4 備份和離站存儲(chǔ) 553
18.4.5 軟件托管協(xié)議 556
18.4.6 外部通信 556
18.4.7 公用設(shè)施 557
18.4.8 物流和供應(yīng) 557
18.4.9 恢復(fù)與還原的比較 557
18.5 培訓(xùn)、意識(shí)與文檔記錄 558
18.6 測(cè)試與維護(hù) 558
18.6.1 通讀測(cè)試 558
18.6.2 結(jié)構(gòu)化演練 559
18.6.3 模擬測(cè)試 559
18.6.4 并行測(cè)試 559
18.6.5 完全中斷測(cè)試 559
18.6.6 維護(hù) 559
18.7 總結(jié) 560
18.8 考試要點(diǎn) 560
18.9 書(shū)面實(shí)驗(yàn) 561
18.10 復(fù)習(xí)題 561
第19章 事件與道德規(guī)范 565
19.1 調(diào)查 565
19.1.1 調(diào)查的類型 566
19.1.2 證據(jù) 567
19.1.3 調(diào)查過(guò)程 570
19.2 計(jì)算機(jī)犯罪的主要類別 571
19.2.1 軍事和情報(bào)攻擊 571
19.2.2 商業(yè)攻擊 572
19.2.3 財(cái)務(wù)攻擊 572
19.2.4 恐怖攻擊 573
19.2.5 惡意攻擊 573
19.2.6 興奮攻擊 574
19.3 事故處理 575
19.3.1 常見(jiàn)的事故類型 575
19.3.2 響應(yīng)團(tuán)隊(duì) 576
19.3.3 事故響應(yīng)過(guò)程 578
19.3.4 約談個(gè)人 580
19.3.5 事故數(shù)據(jù)的完整性和
保存 580
19.3.6 事故報(bào)告 580
19.4 道德規(guī)范 581
19.4.1 (ISC)2的道德規(guī)范 582
19.4.2 道德規(guī)范和互聯(lián)網(wǎng) 582
19.5 本章小結(jié) 583
19.6 考試要點(diǎn) 584
19.7 書(shū)面實(shí)驗(yàn)室 585
19.8 復(fù)習(xí)題 585
第20章 軟件開(kāi)發(fā)安全 589
20.1 系統(tǒng)開(kāi)發(fā)控制概述 589
20.1.1 軟件開(kāi)發(fā) 590
20.1.2 系統(tǒng)開(kāi)發(fā)生命周期 593
20.1.3 生命周期模型 595
20.1.4 甘特圖與PERT 600
20.1.5 變更和配置管理 600
20.1.6 DevOps方法 601
20.1.7 應(yīng)用編程接口 602
20.1.8 軟件測(cè)試 603
20.1.9 代碼倉(cāng)庫(kù) 604
20.1.10 服務(wù)等級(jí)協(xié)議 604
20.1.11 軟件采購(gòu) 605
20.2 創(chuàng)建數(shù)據(jù)庫(kù)和數(shù)據(jù)倉(cāng)儲(chǔ) 605
20.2.1 數(shù)據(jù)庫(kù)管理系統(tǒng)的
體系結(jié)構(gòu) 605
20.2.2 數(shù)據(jù)庫(kù)事務(wù) 608
20.2.3 多級(jí)數(shù)據(jù)庫(kù)的安全性 609
20.2.4 ODBC 610
20.3 存儲(chǔ)數(shù)據(jù)和信息 611
20.3.1 存儲(chǔ)器的類型 611
20.3.2 存儲(chǔ)器威脅 612
20.4 理解基于知識(shí)的系統(tǒng) 612
20.4.1 專家系統(tǒng) 612
20.4.2 神經(jīng)網(wǎng)絡(luò) 613
20.4.3 決策支持系統(tǒng) 613
20.4.4 安全性應(yīng)用 614
20.5 本章小結(jié) 614
20.6 考試要點(diǎn) 614
20.7 書(shū)面實(shí)驗(yàn)室 615
20.8 復(fù)習(xí)題 615
第21章 惡意代碼與應(yīng)用攻擊 619
21.1 惡意代碼 619
21.1.1 惡意代碼的來(lái)源 620
21.1.2 病毒 620
21.1.3 邏輯炸彈 624
21.1.4 特洛伊木馬 624
21.1.5 蠕蟲(chóng) 625
21.1.6 間諜軟件與廣告軟件 627
21.1.7 對(duì)策 628
21.2 密碼攻擊 629
21.2.1 密碼猜測(cè)攻擊 629
21.2.2 字典攻擊 630
21.2.3 社會(huì)工程學(xué)攻擊 630
21.2.4 對(duì)策 631
21.3 應(yīng)用程序攻擊 631
21.3.1 緩沖區(qū)溢出 632
21.3.2 檢驗(yàn)時(shí)間到使用時(shí)間 632
21.3.3 后門 632
21.3.4 權(quán)限提升和rootkit 633
21.4 Web應(yīng)用的安全性 633
21.4.1 跨站腳本(XSS)攻擊 633
21.4.2 SQL注入攻擊 634
21.5 偵察攻擊 636
21.5.1 IP探測(cè) 636
21.5.2 端口掃描 637
21.5.3 漏洞掃描 637
21.5.4 垃圾搜尋 637
21.6 偽裝攻擊 638
21.6.1 IP欺騙 638
21.6.2 會(huì)話劫持 638
21.7 本章小結(jié) 639
21.8 考試要點(diǎn) 639
21.9 書(shū)面實(shí)驗(yàn)室 640
21.10 復(fù)習(xí)題 640
附錄A 復(fù)習(xí)題答案 643
附錄B 書(shū)面實(shí)驗(yàn)室答案 667
術(shù)語(yǔ)表 677